Finanzdaten gehören zu den sensibelsten Informationen eines Unternehmens. fynsight schützt sie auf vier Ebenen: EU-Hosting in zertifizierten Rechenzentren, durchgängige Verschlüsselung bei Übertragung und Speicherung, granulare rollenbasierte Zugriffsrechte sowie vollständige, unveränderliche Audit-Logs für API- und MCP-Zugriffe. Dieser Beitrag beschreibt das Sicherheits- und Compliance-Konzept der Plattform im Detail.
Hosting und Datenstandort
fynsight verarbeitet alle Kunden- und Finanzdaten ausschließlich in zertifizierten Rechenzentren innerhalb der Europäischen Union – konkret in Frankfurt am Main. Damit unterliegt die Verarbeitung vollständig der Datenschutz-Grundverordnung (DSGVO) sowie den deutschen Datenschutzgesetzen. Eine Übermittlung in Drittstaaten außerhalb der EU findet im Rahmen der Standardverarbeitung nicht statt.
Die genutzte Infrastruktur ist nach ISO/IEC 27001 zertifiziert und wird regelmäßig durch unabhängige Auditoren überprüft. Backups werden geografisch redundant, jedoch ausschließlich innerhalb der EU vorgehalten.
Verschlüsselung
Alle Datenübertragungen zwischen Browser, API, MCP-Server und Backend erfolgen über TLS 1.3. Daten im Ruhezustand werden mit AES-256 verschlüsselt – inklusive Datenbank, Datei-Storage und Backups. Schlüssel werden in einem Key-Management-System (KMS) verwaltet, regelmäßig rotiert und sind nur für autorisierte Systemprozesse zugänglich.
Rollenbasierte Zugriffsrechte (RBAC)
fynsight setzt konsequent auf Role-Based Access Control. Jeder Nutzer wird einer Rolle zugeordnet – beispielsweise Inhaber, Controller, Steuerberater oder Lesezugriff. Berechtigungen werden granular auf folgenden Ebenen gesteuert:
- Mandantenebene: Trennung mehrerer Buchungskreise
- Kostenstellenebene: Sichtbarkeit einzelner Bereiche
- Berichts- und Funktionsebene: z. B. Lese- vs. Editierrechte
- API- und MCP-Ebene: separate Token mit eigenem Scope
Rollenänderungen sind versioniert und werden im Audit-Log dokumentiert. Damit ist jederzeit nachvollziehbar, wer wann welche Berechtigung erhalten oder verloren hat.
API- und MCP-Audit-Log
Sowohl die fynsight-REST-API als auch der Model-Context-Protocol-Server (MCP) erzeugen ein vollständiges, unveränderliches Audit-Log. Erfasst werden mindestens:
- Zeitstempel (UTC, mit Millisekundenauflösung)
- Authentifizierte Nutzer- bzw. Token-ID
- Ursprungs-IP-Adresse und User-Agent
- Aufgerufener Endpunkt bzw. MCP-Tool und Parameter-Hash
- Status der Anfrage (erfolgreich, abgelehnt, fehlerhaft)
Logs sind 12 Monate in der fynsight-Plattform verfügbar und können von Inhabern und Administratoren als CSV oder JSON exportiert werden – etwa für interne Compliance-Prüfungen oder Anfragen von Wirtschaftsprüfern.
Umgang mit KI-Anfragen
fynsight nutzt KI-Modelle ausschließlich on-demand: Daten werden nur dann an ein Sprachmodell übergeben, wenn der Nutzer aktiv eine Auswertung oder Analyse anstößt. Dabei werden keine Firmen- oder Personennamen übermittelt, und die Anbieter dürfen die Inhalte nicht zum Training ihrer Modelle verwenden – das ist vertraglich abgesichert.
Datenexport und Löschung
Nach Vertragsende stellt fynsight einen vollständigen Export der eigenen Daten als strukturierten Download bereit. Spätestens 30 Tage danach werden alle personenbezogenen und finanzbezogenen Daten unwiderruflich aus den Produktivsystemen und Backups gelöscht.
Häufig gestellte Fragen
Wo werden meine Finanzdaten bei fynsight gespeichert?
Sämtliche Kunden- und Finanzdaten werden ausschließlich in zertifizierten Rechenzentren in der Europäischen Union (Frankfurt, Deutschland) verarbeitet und gespeichert. Die Infrastruktur ist ISO 27001-zertifiziert und unterliegt vollständig der DSGVO.
Werden meine Daten zum Training von KI-Modellen verwendet?
Nein. fynsight nutzt keine Kundendaten für das Training von KI-Modellen. Anfragen an Sprachmodelle erfolgen nur on-demand, ohne dauerhafte Speicherung beim Modellanbieter und ohne Übermittlung von Firmen- oder Personennamen.
Wie funktioniert die rollenbasierte Zugriffskontrolle (RBAC)?
Jeder Nutzer wird einer Rolle (z. B. Inhaber, Controller, Lesezugriff) zugeordnet. Berechtigungen werden granular auf Mandanten-, Kostenstellen- und Berichtsebene gesteuert. Änderungen an Rollen sind versioniert und protokolliert.
Werden API- und MCP-Zugriffe protokolliert?
Ja. Jede API- und MCP-Anfrage wird mit Zeitstempel, Nutzer-ID, IP-Adresse und ausgeführter Aktion in einem unveränderlichen Audit-Log erfasst. Logs sind 12 Monate verfügbar und exportierbar für interne Compliance-Prüfungen.
Welche Verschlüsselung kommt zum Einsatz?
Daten werden bei der Übertragung mit TLS 1.3 und im Ruhezustand mit AES-256 verschlüsselt. Datenbank-Backups sind ebenfalls verschlüsselt und werden geografisch redundant innerhalb der EU vorgehalten.
Was passiert mit meinen Daten, wenn ich den Vertrag beende?
Nach Vertragsende können Sie Ihre Daten als strukturierten Export herunterladen. Anschließend werden alle personenbezogenen und finanzbezogenen Daten innerhalb von 30 Tagen vollständig und unwiderruflich gelöscht.